网络时代个人信息保护的公益诉讼模式构建

摘      要：网络时代，个人信息的“裸奔”不仅侵犯个人私权，也对社会安全治理构成了威胁。实践中，个人信息保护实体法律规范的碎片化以及保护模式的体系性欠缺致使其保护机制存在掣肘。针对个人信息网络侵权频发的现状，应基于诉讼主体与权利主体互相分离的逻辑起点，围绕起诉主体范围、证明责任分配以及责任承担方式等多维面向构建个人信息保护的公益诉讼模式，以提高社会治理法治化水平。

关  键  词：网络侵权;个人信息;公益诉讼;专家辅助人

中图分类号：D923        文献标识码：A        文章编号：1007-8207（2021）01-0095-08

收稿日期：2020-11-02

作者简介：唐守东，天津市人民检察院第一分院检察官，天津市人民检察院案例研究中心研究员，法学博士，研究方向为诉讼法学、司法制度。

基金项目：本文系天津市人民检察院2020年重点研究课题“公益诉讼案件范围拓展研究”的阶段性成果，项目编号：20TJJY0502。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在我国，对个人信息的法律保护经历了一个逐渐拓展的过程。2015年，《中华人民共和国刑法修正案（九）》确立了非法获取、出售或者提供公民个人信息罪和拒不履行信息网络安全管理义务罪。2017年，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息刑事解释》）依照刑法、刑事诉讼法的规定，对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。[1]关于个人信息保护的相关行政法规散见于《中华人民共和国消费者权益保护法》《中华人民共和国居民身份证法》《中华人民共和国网络安全法》（以下简称《网络安全法》）等单行法律法规中，其中《网络安全法》对个人信息保护作了较为全面的规定，极具代表性。自2021年1月1日起施行的《中华人民共和国民法典》（以下简称《民法典》）第一千零三十四条明确规定自然人的个人信息受法律保护。可以看出，我国对公民个人信息的保护是卓有成效的，形成了一套覆盖刑法、民法、行政法等领域的法律制度。然而，上述关于个人信息保护的法律基本上都是在特定适用领域的个别保护，且以实体法为主，缺乏程序法层面的有效指引。网络时代，电子信息转移的即时性和不可控性迅速放大了个人信息遭受非法侵害的风险，[2]非法获取、侵害公民个人信息的案件时有发生，对微观层面的公民个人信息保护以及宏观层面的社会和谐稳定荼毒日甚。[3]个人在网络空间上的零散信息基于物联网的智能识别和计算能力可以被轻易拼凑成完整的、足以反映具体人格表征的数字身份，一旦处理不当，不仅仅是个体，城市治理、社会稳定、国家安全都将受到威胁。毕竟个人信息具有公共性和社会性，不仅关涉到个人利益，而且关涉到他人和整个社会利益。[4]如何构建个人信息安全的救濟体系，在社会公益层面保护个人信息，已成为亟待解决的社会治理难题。

一、现状梳理：网络时代个人信息的司法保护

网络时代的个人信息具备两大特征：一是从分散化到集聚化。随着现代科技的发展，看似分散的信息不再凌乱，看似匿名的信息难以“隐身”，在分散、匿名的背后暗藏着聚合信息。2019年，一款名为“ZAO”的换脸软件强制要求用户授予其全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利，以收集用户信息为注册前提，以收集用户头像照片为服务基础，将分散于各地的用户个人信息存储起来。[5]最为可忧的是，该软件只是海量数据信息存储平台中的沧海一粟。二是从个体性到社会性。尖端技术超乎想象的数据信息的处理分析能力在给个体带来极大便捷的同时也为侵害隐私打开了方便之门，此时个人信息的社会性特征更为明显。[6]个人信息往往是大规模侵权的对象，海量的个人信息受到侵害势必会带来巨大的社会风险。故此，对个人信息的法律保护已经从对个体权益的保护上升为对社会公益的保护。

针对个人信息的司法保护是借鉴美国的信息隐私权模式还是借鉴德国的个人信息控制权模式，我国学界并未达成共识，实务界对此亦认识不一。[7]近年来，一些刑事判决书中也出现了“侵害个人信息权”的描述，但对该项权利具体属性的阐释却付之阙如。总体而言，我国目前对于公民个人信息受侵害虽有司法救济途径，但在保护范式上存在重叠与混淆，不仅在处理单个主体个人信息被侵害时存在诸多障碍，更无法解决涉及海量主体的个人信息保护问题。其一，《中华人民共和国刑法》及《个人信息刑事解释》针对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定，但“侵犯公民个人信息罪”中的“公民个人信息”在实务中被非常狭窄地限制为公民的“身份认证信息”和“可能影响人身、财产安全的信息”，[8]且刑罚的适用条件与谦抑性较为严苛。其二，目前在民事审判领域尚未有个人信息的专属案由，但这并不代表公民无个人信息民事救济的需求，实务中多被纳入“隐私权”“名誉权”“一般人格权”及网络侵权责任纠纷中加以保护。在个人信息判定上，《网络安全法》第七十六条第五项将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，《民法典》第一千零三十四条将能够识别自然人的各种信息均认定为个人信息。理论界以“可识别性”为主流观点，强调信息与信息主体之间存在被直接或间接“认出来”的可能性。[9]实务界亦普遍认可“可识别性”这一核心要素，如在北京市门头沟区人民法院（2017）京0109民初4626号民事判决书中，人民法院认为“自然人个人信息主要指据以识别特定自然人身份的任何生物性、物理性的数据、文件”;在北京市海淀区人民法院（2017）京0108民初30593号民事判决书中，人民法院认为“与特定姓名对应的身份证号码属于个人信息范畴，为自然人身份识别的基础性信息”。然而，随着科学技术的飞速发展，对于信息的匿名处理已不再是“安全岛”，通过数据分析可以轻而易举地恢复数据的身份属性，信息“可识别性”的“技术含量”越来越低，一些看似不被识别的多重数据信息通过新型分析技术被有效关联和聚合，从而模糊了个人信息与非个人信息的边界。其三，行政管理实务的繁杂性及行政执法的局限性一定程度上限制了对个人信息的行政保护。一方面，网络行政管理机关负责网络安全的方方面面，由于资源有限，往往更侧重于国家和重大安全网络事件的监管，对相对次要的个人信息安全监管有所忽视;另一方面，因个人信息的侵权范围不易确定，行政机关在执法中不易发现或不易判断公民个人信息是否被侵犯，故在公民个人信息保护上往往克制使用行政处罚权甚至存在监管缺位的情况。[10]其四，实务中虽已有关于个人信息保护的公益诉讼探索，但在起诉类型上多集中在刑事附带民事公益诉讼，鲜有其他类型的公益诉讼，保护力度较弱，保护方式较为单一。如在上海市宝山区人民法院（2019）沪0113刑初2482号刑事判决书中，针对上海市宝山区人民检察院提起的一起刑事附带民事公益诉讼，人民法院认定附带民事公益诉讼被告单位××公司及其工作人员被告人韩××、杨××等的行为侵害了众多消费者的合法权益，损害了社会公共利益，依法应当承担民事侵权责任，判定附带民事公益诉讼被告单位及被告人承担赔偿损失、关闭网站、注销号码、删除公民个人信息以及赔礼道歉的责任。

目前来看，我国针对个人信息的法律保护尚存在局限性。一是碎片化严重，缺乏整体性和协同性。二是覆盖面不广，主要集中于银行、保险、电信等传统领域，对新兴领域个人信息的法律保护不足。三是侵害个人信息行为所应承担的法律责任较为模糊。四是囿于个人信息保护私益诉讼程序启动难、启动后举证难等原因，个人一般不会选择私益诉讼。

二、理论探索：公益诉讼对个人信息保护的补强

个人信息带有明显的私益属性，无论英美法系将个人信息纳入“隐私权”还是大陆法系将个人信息纳入“一般人格权”都体现了私法领域对个人信息的保护。[11]从某种程度上说，公民对个人信息可以“自主控制”，通过传统的民法保护方式依赖个案解决即可保障其权益。但网络时代，大量的信息存储平台及海量的数据处理使得公民每时每刻都面临着算法歧视、信息泄露的危机，成为潜在的受害者，个案已然不能解决个人信息受侵这一社会性问题。个人信息当然是公民的私益，但其在某些情形下关涉到公共利益，公益与私益之间的界限不再那么清晰，保护个人信息权益也不再仅仅是满足个体或组织的个性化需求，而且要满足国家治理与社会治理的公共目标价值诉求。

党的十九届四中全会强调要“拓展公益诉讼案件范围”。公益诉讼是指在公共利益受到非法侵害或出现减损时为保护公共利益或恢复、补偿受到减损的公共利益抑或保护特定的公共秩序，由一定主体根据法律规定向法院起诉，由法院进行审理并作出判决的特别程序制度。[12]既然公益诉讼事关公共利益，那么个人信息亦可通过公益诉讼来保护。在网络领域采用“公法”对个人信息进行保护，同时注重实体法和程序法的衔接，全方位对侵犯个人信息行为进行打击是个人信息保护的新视角。[13]

网络时代，公民个人信息的私人性开始减弱，社会性与公共性逐渐增加，个人信息从“私域”中“溢出”，人际交往更为频繁，信息传递更为快捷，信息交互的公益性日益凸显。而且，实务中并未要求就个人信息权益提起公益诉讼的原告是实际权益的“私有者”，权利处分实无障碍，但鉴于公益处分权的独有特性，对诉讼构造还需进行更精细化的探讨。2017年12月11日，江苏省消费者权益保护委员会（以下简称江苏省消保委）就百度涉嫌违规获取消费者个人信息且未及时回应提起民事公益诉讼，该案是我国首例针对个人信息安全提起的公益诉讼。2018年1月2日，南京市中级人民法院正式立案。2018年1月26日，百度提交了正式升级改造方案，从取消不必要敏感权限、增设权限使用提示框、增设专门模块供权限选择、优化隐私政策等方面对软件进行升级。2018年2月8日，新版APP全部更新上线。江苏省消保委认为提起消费民事公益诉讼的目的已经达到，本着节约诉讼成本和司法资源的原則依法向南京市中级人民法院提交了《撤诉申请书》。2018年3月12日，南京市中级人民法院裁定，准予江苏省消保委撤回起诉。[14]虽然此案最终以原告撤诉结案，未能实现我国有关公民个人信息保护公益诉讼的首例判决，但其对个人信息保护公益诉讼模式的构建极具指导意义。

三、进路选择：个人信息保护公益诉讼模式之构建

（一）诉讼主体与权利主体分离

公益诉讼之诉的利益是保护公共利益或者恢复、补偿受到减损的公共利益。[15]公益诉讼与传统民事诉讼的区别在于原告诉讼主体资格来源于法律技术之拟制，在实体上并非公共利益的私有者，即“诉讼主体与权利主体的分离”，这是构建个人信息保护公益诉讼制度的逻辑原点。就个人信息保护公益诉讼而言，权利主体属于公民个人已毋庸置疑，但因网络空间、网络技术具有隐秘性的特点，普通公民不易发现其个人信息在何时何地以及何种程度上被收集和使用，故将诉讼主体赋予专业的公益诉讼起诉人实为最佳选择。需要注意的是，一方面，公益诉讼赋予特殊主体对保护公共利益的诉权（即公益处分权），为避免个人信息保护诉讼主体对公共利益的恣意处分，必须通过程序设计将公益处分权予以合理限缩。申言之，如何在规则层面上限缩公益处分权实质上已关涉到个人信息保护公益诉讼制度的核心，具体涉及到撤诉调解制度的设置、公众介入权的保障、责任承担机制的完善等;另一方面，个人信息保护诉讼主体缺乏对实体权利的享有，亦非诉讼救济的直接对象，因而并不享有真正意义上的“胜诉权”①。如何在诉讼主体参诉并取得胜诉判决的情况下由权利主体真正享有“胜诉权”，破解个人信息保护公益诉讼案件的“执行困局”，是构建个人信息保护公益诉讼制度时应重点关注的问题。

（二）明确个人信息保护公益诉讼的启动主体及具体案由

⒈启动主体。公益诉讼启动主体即诉讼原告。《中华人民共和国民事诉讼法（2017修正）》第五十五条第一款规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼”，有学者认为该条文规定过于原则，不利于司法实践掌握。[16]笔者则认为，公益诉讼的法益在于公共利益，而公共利益的覆盖范围几乎涉及社会所有领域且互有交叉，法律既无法作穷尽式表达亦不应作罗列式归纳。具体到个人信息保护公益诉讼，法律规定②的原告有两种：一是检察院作为原告提起检察民事公益诉讼，二是有关组织如消协、未成年人保护协会、妇女保护协会等提起民事公益诉讼。应以人民检察院为主，有关组织为辅。一方面，检察机关作为宪法规定的法律监督机关在刑事、民事以及行政诉讼上都可以行使法律监督职责;另一方面，检察机关具有相对的独立性、较强的取证能力及专业化队伍，相较于其他适格主体具有公共利益司法保护的天然优势且对于提起公益诉讼具有丰富的经验。当下，上海、江苏等地的检察机关已开始探索运用公益诉讼对APP所涉个人信息进行多维度的司法保护，这也为个人信息保护检察公益诉讼提供了实践范本。[17]

⒉确立具体案由。从个人信息的权利属性考量言，敏感性的个人信息（如性取向等）本身即为隐私，置于隐私权纠纷中解决并无不当;非敏感性的个人信息基于其商业价值而被不当利用时则应被置于名誉权或一般人格权项下予以保护，这在《民法典》第四编第六章“隐私权和个人信息保护”中已有体现。但从公益诉讼的制度价值考量，隐私权、名誉权及一般人格权等仍属私益诉讼范畴，而不特定多数人的个人信息已远超私益范畴，成为一种公共利益，故个人信息保护民事公益诉讼的案由无法简单在隐私权或名誉权纠纷中作出选择，应使用“网络侵权责任纠纷”这一新型案由;个人信息保护行政公益诉讼则应以信息安全监管部门不依法履行职责为具体案由。

（三）细化具体规则

⒈设置调撤规则。《检察机关民事公益诉讼案件办案指南（试行）》规定，检察机关提起民事公益诉讼在诉讼请求全部实现后可以撤回起诉。调解和撤诉不只是程序权利，其也代表着一定的实体利益，因此个人信息保护公益诉讼的制度设置应聚焦于调撤程序，体现对公众介入权的保护。就个人信息保护公益诉讼制度的撤诉程序而言，应以公益维持为原则，严格审查撤诉目的。一是原告的撤诉权限制不应仅限于辩论终结后，而应贯穿于整个诉讼过程。二是根据原告诉讼请求的实现程度决定其是否可以撤诉，若原告诉求通过调解（和解）确已实现或者通过被告的行为已经恢复（消除危险）则不应对撤诉予以限制。三是原告撤回部分诉讼请求无碍公益维持原则的，应予以准许。就个人信息保护公益诉讼制度的调解程序而言，民事公益诉讼的本质仍是民事诉讼，而调解是解决民事纠纷的重要方式，通过调解亦能达到保护公益之目的。为防止原告恣意，应健全公众介入权。一是扩大告知范围，将个人信息受侵主体和潜在受侵主体均作为告知的对象，而不仅限于相关行政主管部门。二是明确公告的范围，除调解协议之外，修复方案的选择①、恢复原状或消除危险的时间及手段亦应向公众公开。三是增设公告后的异议程序，如可限制一定数量的公众以书面形式提出异议并附理由，且规定不符合条件时的法律后果。具体可参照《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释（2020修正）》（以下简称《民事诉讼法解释》）的规定②将该异议人作为无独第三人纳入诉讼，对其异议予以审查并接受当事人的质询和辩论。

⒉举证认证的特殊规则。一是因果关系的举证责任分配。《民事诉讼法解释》第二百八十四条规定：“环境保护法、消费者权益保护法等法律规定的机关和有关组织对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，根据民事诉讼法第五十五条规定提起公益诉讼，符合下列条件的，人民法院应当受理：（一）有明确的被告;（二）有具体的诉讼请求;（三）有社会公共利益受到损害的初步证据;（四）属于人民法院受理民事诉讼的范围和受诉人民法院管辖。”笔者认为，对于因果关系的证据，原告方不存在专业优势也不具备客观条件，由其承担举证责任显然过于严苛，故对于个人信息的损害结果与被告使用个人信息的行为之间是否存在因果关系应由被告方承担举证不能的后果。二是对侵权行为的公证。网络侵权责任纠纷的案件中，对侵权行为的公证成为保留证据的惯用方法。考虑到个人信息保护公益诉讼中涉及到不特定多数人的个人信息被侵权，对侵权行为全部予以公证既不现实也无必要。公益诉讼的法益主要是社会公共利益，之所以将个人信息侵权纳入公益诉讼中主要是针对个人信息的社会安全，故原告只需证明被告保有大量个人信息且部分个人信息已经遭到泄露或非法利用即可，对于侵权行为本身无须采用公证方式进行取证。三是对于行政公益诉讼中“不依法履行职责”的举证，根据《人民检察院提起公益诉讼试点工作实施办法》的规定①，检察机关需要承担初步的证明责任，证明个人信息安全监管部门存在违法行使职权或不作为行为致使不特定多数人的个人信息受到侵害。

⒊引入专家辅助人制度。个人信息保护公益诉讼往往涉及网络信息安全的相关知识，数据信息存储平台作为个人信息的保有者是否存在安全隐患或操作漏洞致使个人信息泄露是关键事实，但个人往往并不具备相关专业知识，法官亦难以作出判断。因此，在个人信息保护公益诉讼中应引入专家辅助人制度。当前，专家辅助人制度已被我国民事诉讼程序所采用②。在个人信息保护公益诉讼中，专家辅助人程序的启动应先由当事人申请，再经人民法院准许，二者缺一不可。庭审过程中，专家辅助人有发表意见、协助询问、参与质证和进行辩论的权利，可以围绕案件中涉及网络信息安全专业的问题提出意见。确有必要，人民法院可准许专家辅助人进入相关平台系统进行了解和查勘，以便准确掌握系统平台的安全隐患或操作漏洞。

（四）强化个人信息保护公益诉讼配套机制

⒈确立惩罚性赔偿规则。目前，在个人信息侵权诉讼中，个人信息被侵犯往往难以确定具体损失，致使“赔偿损失”的诉求因缺乏事实依据难以被人民法院支持。即便能够确定损失，因个人信息的商业价值被挖掘后不断释放呈现出叠加式的价值增值，而根据现有的损害赔偿计算规则人民法院只计算直接损失，故判决无法达到震慑违法行为人的效果。笔者认为，应构建惩罚性赔偿制度，使侵害个人信息权利的违法成本高于收益。

⒉设立专项基金。如何在个人信息保护公益诉讼获得胜诉判决的情况下保证权利主体真正享有“胜诉权”，关键在于执行到位。目前，公益诉讼制度较为发达的国家普遍采取设立专项赔偿基金制度来解决受害群众广泛、救济成本高、难以实现公平受偿的问题。[18]笔者认为，可将专项赔偿基金制度应用于个人信息保护公益诉讼，专项基金的设立及运营交由工信部等相关行政部门负责，使用范围包括但不限于：在一定范围内对相对确定的受害人予以赔偿，实现公益救济向私益赔偿的转化;通过行政管理的方式监管督促被执行人使用专项基金修复维护系统漏洞，完善网络平台的安全治理。检察机关可通过发送检查建议函等方式督促相关行政机关管理并运营专项基金，确保专项基金用于满足社会公共利益。若相关行政机关存在违规行为且不予改正，检察机关可提起行政公益诉讼。

【参考文献】

[1]晋涛.网络社会中个人信息的保护——构建侵犯公民个人信息罪的规范意蕴[J].重庆邮电大学学报（社会科学版），2018，（3）：45.

[2]李川.个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入[J].中国刑事法杂志，2019，（5）：34.

[3]唐守东.个人信息保护：民刑法二元维度及其界分[N].人民法院报，2017-04-26（06）.

[4]高富平.个人信息保护：从个人控制到社会控制[J].法学研究，2018，（3）：84.

[5]换脸软件ZAO刷屏隐私权肖像权存忧[N].新京报，2019-09-01（A12）.

[6]侯雷.大数据时代互联网电信平台个人信息保护机制研究[J].行政与法，2017，（12）：16.

[7]杨立新.个人信息：法益抑或民事权利——对《民法总则》第111条规定的“個人信息”之解读[J].法学论坛，2018，（1）：39.

[8]于志刚.公民个人信息的权利属性与刑法保护思路[J].浙江社会科学，2017，（10）：4.

[9]齐爱民.大数据时代个人信息保护法国际比较研究[M].北京：法律出版社，2015：136.

[10]邓辉.我国个人信息保护行政监管的立法选择[J].交大法学，2020，（2）：144.

[11]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015，（3）：42.

[12]赵许明.公益诉讼模式比较与选择[J].比较法研究，2003，（2）：68.

[13]刁胜先等.个人信息网络侵权问题研[M].上海：上海三联书店，2013：45-53.

[14]涉嫌违规获取消费者个人信息被江苏省消保委起诉 百度服软！两款APP整改了[EB/OL].中国江苏网，http：//jsnews.jschina.com.cn/shms/201803/t20180315_1460977.shtml.

[15]宋朝武.论公益诉讼的十大基本问题[J].中国政法大学学报，2010，（1）：64.

[16]唐玉富.公益诉讼原告主体范围之扩张[J].浙江工商大学学报，2015，（2）：67-68.

[17]屠春含，吴礼勤.探索公益诉讼多维度保护App所涉个人信息[N].检察日报，2019-08-04（03）.

[18]张卫平.民事公益诉讼原则的制度化及实施研究[J].清华法学，2013，（4）：19.

（责任编辑：刘亚峰）